【安全资讯】新型ResolverRAT恶意软件针对全球制药和医疗组织

概要：

新型远程访问木马（RAT）ResolverRAT正在全球范围内对医疗和制药行业的组织发起攻击。该恶意软件通过伪装成法律或版权违规的钓鱼邮件传播，给目标带来了严重的安全威胁。

主要内容：

ResolverRAT通过声称涉及法律或版权问题的钓鱼邮件进行传播，这些邮件根据目标国家的语言进行定制，包含下载合法可执行文件（'hpreader.exe'）的链接。该文件利用反射DLL加载技术将ResolverRAT注入内存。Morphisec发现了这一之前未记录的恶意软件，并指出相同的钓鱼基础设施在Check Point和Cisco Talos的报告中也有提及，但未能捕捉到ResolverRAT的独特有效载荷。

ResolverRAT是一种隐蔽威胁，完全在内存中运行，并利用.NET的'ResourceResolve'事件加载恶意程序集，避免了可能被标记为可疑的API调用。Morphisec表示，这种资源解析器劫持展示了恶意软件的演变，利用被忽视的.NET机制在受管内存中完全操作，规避了传统安全监控。

该恶意软件通过在Windows注册表的多达20个位置添加XOR混淆密钥来确保持久性，同时也将自身添加到'启动'、'程序文件'和'本地应用数据'等文件系统位置。ResolverRAT在随机时间间隔内尝试连接，以规避基于不规则信标模式的检测。尽管Morphisec未详细说明ResolverRAT支持的命令，但提到其具有数据外泄能力，能够将大文件分割成16KB的块进行传输，从而混淆恶意流量与正常流量。